Microsoft, Entra

Microsoft Entra ID: 3,7 Millionen gefälschte IDs in Angriffen

Veröffentlicht: 14.07.2026 um 00:31 Uhr, Redaktion boerse-global.de

Microsoft schließt Sicherheitslücke bei biometrischer Anmeldung. Neue Conditional-Access-Regeln für Windows Hello und macOS SSO ab sofort aktiv.

Microsoft Entra ID: Neue Conditional-Access-Regeln für Windows Hello
Stilisiertes digitales Vorhängeschloss über leuchtendem Datennetz, symbolisiert Sicherheit und digitale Identität. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die neuen Conditional-Access-Regeln von Microsoft gelten ab sofort auch für die Registrierung biometrischer Anmeldeverfahren. Ein wichtiger Schritt für die Sicherheit deutscher Unternehmen.

Seit dem 13. Juli 2026 unterliegen auch die Einrichtungsprozesse von Windows Hello for Business und macOS Platform SSO den Conditional-Access-Richtlinien von Microsofts Identitätsplattform Entra ID. Bislang konnten Administratoren diese kritischen Registrierungsvorgänge nicht über die zentralen Sicherheitsrichtlinien steuern – eine Lücke, die nun geschlossen ist.

Die Ausweitung folgt auf eine weitere Verschärfung der Sicherheitsvorgaben: Bereits am 1. Juli 2026 wurde die verpflichtende Multi-Faktor-Authentifizierung (MFA) für Azure endgültig wirksam. Die letzte mögliche Aufschubfrist war zu diesem Zeitpunkt abgelaufen.

Identitätssicherheit im Wandel

Die aktuellen Neuerungen sind Teil einer umfassenden Überarbeitung von Microsofts Identitätssicherheit. Im April 2026 erreichte der Entra Agent ID die allgemeine Verfügbarkeit, und seit Juni 2026 können Unternehmen auch KI-Agenten in ihre Conditional-Access-Richtlinien einbeziehen.

Anzeige

Microsoft macht Passkeys zum neuen Standard – doch was steckt eigentlich hinter der Technologie, die Passwörter für immer ablösen soll? Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Diensten wie Microsoft, Amazon und WhatsApp sofort sicher einrichten. Passkey-Ratgeber jetzt kostenlos herunterladen

Für europäische Organisationen kommt diese Entwicklung zur rechten Zeit. Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft, und die Frist für betroffene Einrichtungen, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren, endete am 6. März 2026.

Die Europäische Kommission zeigt wenig Geduld mit säumigen Mitgliedsstaaten: Sie hat Irland, Spanien, Frankreich und die Niederlande vor dem Europäischen Gerichtshof verklagt, weil diese die NIS2-Regeln nicht fristgerecht in nationales Recht umgesetzt hatten. Die ursprüngliche Frist endete bereits am 17. Oktober 2024. Die Kommission fordert nun finanzielle Sanktionen, darunter Pauschalzahlungen und tägliche Strafzahlungen.

Angreifer zielen auf Identitätsinfrastruktur

Die Verschärfung der Zugriffskontrollen ist auch eine Reaktion auf zunehmend ausgefeilte Angriffsmethoden. Sicherheitsforscher von Proofpoint haben eine Technik namens OAuth-Client-ID-Spoofing identifiziert. Angreifer nutzen gefälschte Client-IDs, um Konten in Entra ID zu enumerieren – ohne dass ein erfolgreicher Anmeldevorgang in den Sicherheitslogs auftaucht. Oft bleibt das Anwendungsfeld in den Protokollen dann leer.

Zwei groß angelegte Kampagnen nutzen diese Methode:

  • UNK_pyreq2323: Seit dem 14. Januar 2026 aktiv, mit über 700.000 gefälschten IDs, die auf rund eine Million Nutzer abzielten.
  • UNK_OutFlareAZ: Seit Dezember 2025 aktiv, setzte 3,7 Millionen gefälschte IDs ein, um mehr als zwei Millionen Nutzer zu attackieren.
Anzeige

Während Microsoft die Hürden für Angreifer erhöht, setzen Kriminelle verstärkt auf psychologische Tricks und Phishing, um Identitäten zu stehlen. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen in 4 Schritten gegen moderne Cyber-Angriffe absichern. Kostenloses Anti-Phishing-Paket sichern

Besonders perfide: Angreifer nutzen auch den Umstieg auf passwortlose Authentifizierung aus. Eine als O-UNC-066 bekannte Gruppe setzt auf Vishing und Phishing-Kits, um Nutzer zur Registrierung von angreiferkontrollierten Passkeys zu bewegen. Die Gruppe betreibt seit April 2026 eine eigene Datenleak-Seite.

Ausblick: Passkeys werden Standard

Microsoft treibt den Wandel hin zur passwortlosen Authentifizierung weiter voran. Ab dem 1. September 2026 werden Passkeys zur Standard-Authentifizierungsmethode in Entra ID. Bei MFA-Anmeldevorgängen werden Nutzer dann aufgefordert, Passkeys zu registrieren.

Langfristig plant Microsoft die Abschaffung der eigenen SMS- und sprachbasierten Authentifizierung. Der Termin dafür steht: 1. Februar 2027. Unternehmen, die weiterhin auf telefonbasierte MFA angewiesen sind, müssen dann auf Drittanbieter über den Microsoft Security Store zurückgreifen. Eine temporäre Opt-out-Option bleibt bis zum Stichtag verfügbar.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69762353 |